Operações de fusões e aquisições (M&A) que envolvem corporações que tratam dados pessoais já experimentam mudanças significativas.
Ponto comum a qualquer operação adotada, é a realização de uma auditoria robusta (due diligence) para verificar, apurar e mensurar inúmeros aspectos das empresas envolvidas, como a real situação financeira e jurídica da empresa, com a identificação de gaps, passivos e/ou contingências que possam de alguma forma influenciar no fechamento e na segurança da operação, com claros reflexos na fixação do preço, formas de pagamento e demais detalhes.
A LGPD trouxe uma nova roupagem para o tratamento de dados pessoais e impacta significativamente todos aqueles envolvidos na operação: a sociedade-alvo, o investidor, a condução de auditorias legais (due diligence), a estruturação do negócio e a negociação dos documentos da operação.
Uma vez que a empresa alvo da operação realiza o tratamento de dados pessoais sujeitos à proteção da LGPD, deve, como controladora de dados, efetivar medidas de compliance que tragam a necessária conformidade.
Assim, a empresa que quer receber aporte e se coloca no mercado como um possível target , deve fazer a lição de casa e definir os documentos e informações essenciais que disponibilizará ao mercado para avaliação de seus negócios, além de implementar um Projeto de efetivo de Privacidade e proteção de dados.
A identificação da base legal para realização do tratamento de dados é necessária para evitar as sanções previstas na LGPD e regulamentadas recentemente pela ANPD, tanto pela empresa-alvo, quanto por todos aqueles que avaliarão estes mesmos dados para definir a viabilidade da operação.
Inclusive aquelas sociedades que realizam a transferência internacional de dados devem cuidadosamente avaliar a prática, no contexto de uma eventual operação cross-border.
A recomendação prática do mercado leva o interessado na aquisição a uma verificação inicial, para entender o nível de maturidade das implementações efetivadas pelo vendedor para o tratamento e transferência dos dados em conformidade com a lei.
Alternativamente, sempre há a possibilidade de negociações para que sejam construídas declarações contratuais para que o vendedor garanta que:
– Tomou as medidas adequadas à proteção de dados antes da respectiva operação e/ou disponibilização para análise;
– Assuma a responsabilidade para, dentro de um determinado período de tempo (geralmente curto), adote os mecanismos e ferramentas de boas práticas exigidas pela legislação.
A due diligence nesse tipo de transação será capaz de identificar eventuais falhas na sociedade-alvo e apontar um necessário aperfeiçoamento na governança de proteção de dados, externando as contingências necessárias que podem sujeitar a uma responsabilização civil e administrativa.
Alguns aspectos baseados em níveis de criticidade e sensibilidade são necessariamente avaliados em M&A de empresas que tratam dados pessoais:
(i) se a sociedade-alvo indicou algum encarregado pelo tratamento dos dados (DPO);
(ii) se a sociedade-alvo possui um programa de boas práticas de governança em privacidade e proteção de dados;
(iii) se política de proteção de dados pessoais tem uma base legal que justifique o tratamento em cada nível da operação;
(iv) se essas regras são eficazes e estão implementadas satisfatoriamente;
(v) se já houve algum incidente envolvendo violação de dados;
(vi) qual é o volume de contratos vigentes e se nestes instrumentos firmados pela sociedade-alvo existem cláusulas de proteção de dados; e
(vii) se a sociedade-alvo utilizava algum(ns) software(s) para garantir a proteção dos dados e elevar o nível de segurança na organização.
O respeito à LGPD pode afetar a estrutura da operação, tanto nas situações que envolvem a aquisição total ou parcial de participação societária, quanto nas fusões.
Logo, neste cenário, todo o pacote de documentos das operações de M&A passa a considerar efetivamente as premissas da LGPD: contratos de aquisição (SPAs) já contam com declarações e garantias específicas e relativas à conformidade com a leis de proteção de dados às quais a sociedade-alvo se sujeitar.
Além disso, cláusulas assecuratórias e indenizatórias são implementadas para lidar com possíveis violações pela sociedade-alvo, seja antes ou depois do fechamento da operação. Claro que dependendo do nível de exposição, é possível criar regras com maior ou menor extensão quanto a esta responsabilidade.
Na prática, temos verificado que outros instrumentos acessórios no contexto de uma operação de M&A também contemplam disposições de proteção de dados, justamente naqueles casos em que haverá a continuidade de uma prestação de serviços após o closing, como, por exemplo, consultoria técnica especializada, prestação de serviços técnicos – TSAs e tantos outros exemplos.
A questão é que a LGPD não tem a intenção de trazer uma onerosidade excessiva na criação de regras regulatórias, mas demonstra, acima de tudo, uma evolução do assunto. E isso em todo mundo, não só no Brasil.
Desta forma, o amadurecimento do mercado leva à necessidade de todos os agentes que participam em alguma fase de uma operação de M&A a traçar estratégias de negócio que não afetem a privacidade do titular dos indivíduos e mantenham a sustentabilidade do negócio.
Neste sentido, o respeito à legislação em todas as fase do M&A claramente facilita a negociação e a obtenção de resultados favoráveis na operação, com a redução da exposição a riscos.
